EU Risikobewertung der 5G-Netze
Die EU-Mitgliedstaaten haben in Abstimmung mit der Kommission und der EU-Cybersicherheitsagentur eine Risikobewertung bezüglich der Cybersicherheit in den Netzen der 5. Generation – 5G – vorgenommen.
Warum 5G?
Die EU betrachtet die 5G-Netze als das künftige Rückgrat der zunehmend digitalisierten Volkswirtschaften und Gesellschaften. Die Technik werde Milliarden von Objekten und Systemen mit einander verbinden, selbst in kritischen Sektoren wie Energie, Verkehr, Bank und Gesundheitswesen, aber auch in industriellen Steuerungssystemen, die sensible Informationen verarbeiten und Sicherheitssysteme unterstützen.
Deshalb sei die Gewährleistung der Sicherheit und Widerstandsfähigkeit der 5G-Netze von größter Bedeutung.
Die wichtigsten Erkenntnisse der Risikobewertung
Die größten Sicherheitsprobleme sieht der Bericht im Zusammenhang mit
- großen Innovationen der 5G-Technik (die zugleich eine Reihe spezifischer Sicherheitsverbesserungen mit sich bringen), insbesondere im wichtigen Softwarebereich und im breiten Spektrum der Dienste und Anwendungen, die durch 5G-Technik ermöglicht werden;
- der Rolle der Lieferanten beim Aufbau und Betrieb von 5G-Netzen und dem Grad der Abhängigkeit von einzelnen Lieferanten.
Als mögliche Auswirkungen des Netzaufbaus nennt der Bericht
- eine erhöhte Angriffsgefahr und mehr potenzielle Ansatzpunkte für Angreifer. Da 5G-Netze zunehmend auf Software basieren, steigen die Risiken im Zusammenhang mit größeren Sicherheitslücken, z.B. wegen mangelhafter Softwareentwicklungsprozesse bei Lieferanten. Dadurch könnte es auch für Angreifer leichter werden, Hintertüren in die Produkte einzubauen und deren Erkennung zu erschweren.
- Aufgrund der neuen Merkmale der Netzarchitektur und neuer Funktionen werden bestimmte Netzausrüstungen oder Netzfunktionen leichter verwundbar;
- Erhöhte Risiken durch die Abhängigkeit der Mobilfunknetzbetreiber von ihren Lieferanten. Dadurch wird sich auch die Zahl der Angriffspunkte, die von Angreifern ausgenutzt werden könnten, und die potenzielle Schwere solcher Folgen erhöhen.
- Erhöhte Risiken durch größere Abhängigkeit von Lieferanten: Eine große Abhängigkeit von einem einzigen Lieferanten erhöht die Gefahr möglicher Lieferunterbrechungen, was beispielsweise zu geschäftlichen Ausfällen mit allen ihren Folgen führen kann. So verschärfen sich auch die möglichen Folgen von Schwachstellen und Anfälligkeiten und deren möglicher Ausnutzung durch Angreifer, insbesondere bei einer Abhängigkeit von einem Lieferanten, der ein hohes Risiko aufweist.
- Bedrohungen der Verfügbarkeit und Integrität der Netze werden große Sicherheitsbedenken hervorrufen: Da 5G-Netze voraussichtlich das Rückgrat vieler unverzichtbarer IT-Anwendungen bilden werden, wird neben der Vertraulichkeit und dem Schutz der Privatsphäre auch die Integrität und Verfügbarkeit dieser Netze zu einer wichtigen Frage nationaler Sicherheitsinteressen und zu einer großen sicherheitspolitischen Herausforderung der EU.
Maßnahmen zur Risikominderung
Vorgesehen hat die EU-Kommission Maßnahmen auf nationaler und supranationaler Ebene.
Zum einen sollen die folgende Maßnahmen auf jeweils nationaler Ebene getroffen werden:
- Verschärfung der Sicherheitsanforderungen an Mobilfunknetzbetreiber.
- Bewertung des Risikoprofils der Anbieter, Anwendung von Beschränkungen für Anbieter, die als mit einem hohen Risiko behaftet gelten, auch Ausschluss von wichtigen Anlagen und Einrichtungen.
- Gewährleistung, dass jeder Betreiber über eine angemessene herstellerneutrale Strategie verfügt, um eine größere Abhängigkeit von einem einzigen Anbieter zu vermeiden oder zu begrenzen und um Abhängigkeiten von Anbietern auszuschließen, die als mit einem hohen Risiko behaftet gelten.
Zum anderen sind EU-weit folgende Maßnahmen vorgesehen:
- Maßnahmen zur Aufrechterhaltung einer diversifizierten und zukunftsträchtigen 5G-Lieferkette ergreifen, um eine langfristige Abhängigkeit zu vermeiden, unter anderem durch umfassende Nutzung der bestehenden Werkzeuge und Instrumente der EU (Überprüfung ausländischer Direktinvestitionen, handelspolitische Schutzinstrumente, Wettbewerbsrecht).
- Weitere Stärkung der Kapazitäten der EU im Bereich der 5G-Technik und deren Folgetechnik mit einschlägigen EU-Programmen und Fördermitteln.
- Erleichterung der Koordinierung zwischen den Mitgliedstaaten im Bereich der Normung, um spezifische Sicherheitsziele zu erreichen, Entwicklung einschlägiger EU-weiter Zertifizierungssysteme.